スレットハンティングとは

スレットハンティングの前提

システム等で自動的に発見することができない脅威が存在している事を前提にしています。つまり、ネットワーク境界やエンドポイントなどのセンサーでは発見できず、脅威が組織内のネットワークに既に存在している状態を前提としています。
また、標的型攻撃などの高度な攻撃では、マルウェア単体が動作するのではなく、感染した端末を足掛かりにオペレーター(ハッカー)が遠隔操作することで、彼らの目的を達成すると言われています。つまり、防御側の対策によって一時的に組織を保護できていたとしても、それを迂回する手段を検討・実施してきます。更に内部に侵入した攻撃者は、既にコンピュータ内に存在しているツールや正規に利用可能なツールをうまく活用し、内部ネットワークの掌握や移動、情報窃取などを行っていくため、防御側にとって中々発見が難しいと言われています。

スレットハンティングのアプローチ

スレットハンティングは、上記の防御側、攻撃側両面の状況を前提にしたアプローチです。先の通り、高度な脅威は自動的に発見することができないという観点から、完全に自動化されたシステムだけでは防御することができません。また、攻撃者は「人」であり、防御側の迂回手段を検討してくるという点もあり、防御側も「人」が攻撃の状況・状態の仮説を立て、検出を行う必要があると考えられています。
しかしながら、侵入している可能性をすべて人手で探し出し検証することは、運用コストの観点で困難です。多くのケースでは機械学習などを利用し、世間一般と異なるパターン、過去に発生したことがないパターンなどを組織内のデータから自動的に発見し、攻撃であることを「人」が検証するという形で行われています。

エンドポイントの市場では、EDR = スレットハンティングという理解もあります。しかし、上述の通り、一般的には「人」が介在し、脅威を発見していくプロセスを意味することから、本来の趣旨とは異なる意味合いで使われているケースもあることをご認識ください。